知己知彼：GFW 与机场的攻防之战

这不是“某个工具突然不好用”的故事。真相更接近一场长期的攻防：一边不断升级识别与干预能力，另一边不断改进伪装、分散与容错。到 2026 年，很多人感受到的“时好时坏”，本质上来自这套系统已经从“拦截某个协议”升级为“识别某类行为”。

1. 从“特征匹配”到“概率识别”：它不再问你是谁，而是问你像不像

早期的封锁更像“查黑名单”：发现某个协议有固定指纹，就按特征码拦截。但进入 2026 年后，很多探测逻辑更像“做判断题”：不需要百分百确认你在用什么协议，只要足够像“异常加密长连接”，就会被纳入重点审查甚至直接阻断。

一种典型路径是对“看起来完全随机”的加密流量进行被动筛查：当某些连接在统计特征上不像常规 HTTPS/TLS 的网页访问行为，且持续时间长、吞吐稳定，它就会变得可疑。这也是为什么你会看到：明明走的是 443、也用了 TLS，却仍然不稳定。

2026 年的深度数据包检测（DPI）更像一套“实时策略系统”。它会结合流量大小分布、时间间隔、突发/持续特征、熵值等指标，给出一种“行为画像”。这类分析并不需要解密内容，但足以把“浏览网页的 TLS”与“转发代理的 TLS”区分开。

更关键的是策略可以动态调整。在某些时段，当 443 端口出现异常模式激增，可能触发更激进的阈值；你会感觉同一套配置在不同时间、不同运营商、不同城市表现差异巨大。

很多人会问：翻墙协议也用 TLS，加密也是真实的，为什么还要“模拟 TLS”？因为“真实的加密”不等于“真实的浏览器 HTTPS 流量”。现实中 TLS 握手的细节（加密套件排序、扩展字段、ALPN、曲线选择等）在不同客户端上差异很大，这些差异能被固化为指纹（例如 JA3/JA4）。

如果某个海外 IP 上出现大量 TLS 连接，但它们的握手指纹不属于主流浏览器族群，且流量形态像持续转发，那么它被判定为代理节点的概率会迅速上升。这也是为什么 2026 年的主流抗封锁方案强调“借用/对齐”真实浏览器指纹，甚至在被探测时能展示正常网页。

过去的主动探测更像人工脚本；现在更像自动化巡检。一旦某个 IP 的某个端口被判为可疑，探测端会尝试以不同方式连接、发起握手、发送探测数据。如果你的服务端回了“像代理协议”的响应，这个 IP 的生命周期可能会迅速结束。

所以机场侧会投入大量成本做“探测对抗”：例如让服务端在错误握手时返回正常站点行为、要求真实域名与合法证书、区分真实用户与探测器的行为差异等。

一些迹象显示，系统可能在尝试对“账号/线路”建立声誉分数：长期产生大量高熵加密流量、模式稳定、目的地分布异常的用户或线路，在某些阶段会受到更严格审查。你看到的现象可能是：

IPv6 普及后，同步过滤成为常态。同时，围绕 443 的实验性策略也更常见：并不是简单“封 443”，而是对异常行为实施更严格的审查或白名单化。

除了网络层，很多人忽略了应用层的识别：浏览器指纹（Browser Fingerprinting）。它通过收集设备与浏览器的细粒度属性，组合成近似唯一的“数字 ID”。即使你清理 Cookie、使用无痕模式、甚至更换代理 IP，也可能依然被识别为同一台设备。

Cookie 是“可擦除的痕迹”，浏览器指纹更像“身体特征”。当你访问网页时，这些属性会被脚本读取并上传。换 IP 只是换了“地址”，指纹仍像“脸”。

到 2026 年，封锁不再执着于破解你的加密内容，而是判断你的行为是否像“正常用户”。能更久存活的方案，往往满足两件事：一是握手像主流浏览器，二是流量行为更像真实的网页访问而不是稳定的隧道转发。

本站不提供规避执法或规避监管的操作指引。本文仅用于帮助你理解“为什么会不稳定”以及“为什么机场在不断变化”。请在遵守所在地法律法规与服务条款的前提下使用相关服务。